GDPR

1. Introduzione

Dal 25 maggio 2018 è entrato in vigore nell’Unione Europea il Regolamento Generale sulla Protezione dei Dati (GDPR). In Italia tale regolamento è applicato attraverso il Codice in materia di protezione dei dati personali ed è supervisionato dall’Autorità Garante per la Protezione dei Dati Personali.

Il quadro normativo stabilisce principi e obblighi relativi al trattamento delle informazioni personali, con finalità principali quali:

• rafforzare il controllo degli individui sui propri dati personali;

• garantire che le attività di trattamento avvengano in modo trasparente e sicuro;

• definire responsabilità chiare e requisiti di conformità per i soggetti coinvolti nel trattamento dei dati.

2. Ambito di applicazione

Le disposizioni del GDPR si applicano nelle seguenti circostanze:

• quando un’organizzazione è stabilita all’interno dell’Unione Europea, indipendentemente dal luogo in cui avviene il trattamento dei dati;

• quando soggetti situati al di fuori dell’UE offrono beni o servizi a utenti residenti in Italia o in altri paesi dell’Unione Europea, oppure effettuano attività di monitoraggio del comportamento online degli utenti, ad esempio tramite Cookie o tecnologie di tracciamento.

Le attività di trattamento svolte esclusivamente per scopi personali o domestici non rientrano nell’ambito di applicazione del regolamento.

3. Principi fondamentali del trattamento dei dati

Il trattamento delle informazioni personali deve rispettare una serie di principi stabiliti dal GDPR:

• Liceità, correttezza e trasparenza: i dati devono essere trattati sulla base di un fondamento giuridico valido e con adeguata informazione agli interessati;

• Limitazione della finalità: la raccolta delle informazioni deve essere effettuata per obiettivi specifici e legittimi;

• Minimizzazione dei dati: devono essere raccolti esclusivamente i dati strettamente necessari alle finalità dichiarate;

• Esattezza: le informazioni devono essere mantenute aggiornate e corrette;

• Limitazione della conservazione: i dati non devono essere conservati oltre il periodo necessario rispetto agli scopi del trattamento;

• Integrità e riservatezza: devono essere adottate misure tecniche e organizzative adeguate per evitare accessi non autorizzati, perdita o divulgazione indebita delle informazioni.

4. Diritti degli interessati

Le persone i cui dati vengono trattati dispongono di diversi diritti riconosciuti dal GDPR, tra cui:

• diritto di ricevere informazioni sul trattamento e ottenere copia dei propri dati personali;

• diritto di richiedere la rettifica di informazioni inesatte o incomplete;

• diritto alla cancellazione dei dati, noto anche come “diritto all’oblio”, quando sussistono le condizioni previste dalla normativa;

• diritto di ottenere la limitazione temporanea del trattamento in determinate situazioni;

• diritto alla portabilità dei dati verso un altro fornitore di servizi in formato strutturato;

• diritto di opposizione al trattamento basato su interessi legittimi, compresi alcuni casi di profilazione o pubblicità comportamentale.

Per gli utenti di età inferiore ai 18 anni è richiesta l’autorizzazione esplicita di un genitore o tutore legale.

5. Obblighi dei soggetti che trattano i dati

Le attività di trattamento devono rispettare determinati obblighi organizzativi e tecnici, tra cui:

• operare secondo istruzioni documentate del titolare del trattamento;

• implementare misure di sicurezza adeguate, come sistemi di cifratura, controlli di accesso e protezioni firewall;

• gestire tempestivamente le richieste degli interessati relative ai propri dati;

• comunicare eventuali violazioni dei dati personali alle autorità competenti e agli interessati quando richiesto dalla normativa;

• mantenere registrazioni delle attività di trattamento;

• effettuare, quando necessario, una valutazione d’impatto sulla protezione dei dati (DPIA);

• designare e comunicare un responsabile della protezione dei dati (DPO) quando previsto dalla legge.

6. Trasferimenti internazionali di dati

Nel caso in cui le informazioni personali vengano trasferite verso paesi situati al di fuori dello Spazio Economico Europeo (SEE), devono essere adottate garanzie adeguate. Tra queste rientrano:

• la verifica che il paese destinatario sia riconosciuto dalla Commissione Europea come dotato di un livello adeguato di protezione dei dati;

• l’utilizzo di clausole contrattuali standard approvate dall’Unione Europea (SCC), integrate da ulteriori misure di sicurezza come la cifratura end-to-end.

7. Supervisione e sanzioni

In Italia l’applicazione del GDPR è monitorata dall’Autorità Garante per la Protezione dei Dati Personali, che dispone di poteri quali:

• effettuare verifiche e controlli sulle attività di trattamento;

• ordinare la sospensione o la limitazione di trattamenti non conformi;

• imporre sanzioni amministrative fino a 20 milioni di euro oppure fino al 4% del fatturato annuo globale, applicando l’importo più elevato tra i due.

La normativa consente inoltre agli interessati di stabilire, tramite disposizioni testamentarie o dichiarazioni specifiche, modalità di gestione dei dati personali anche dopo il decesso. In assenza di tali indicazioni, i diritti relativi ai dati possono essere esercitati dagli eredi.

8. Rilevanza del regolamento

Per gli utenti, il GDPR contribuisce a rafforzare la trasparenza e la protezione delle informazioni personali.

Per le piattaforme digitali, l’osservanza del regolamento riduce i rischi giuridici e rafforza il rispetto delle normative applicabili.

Nel contesto del mercato digitale europeo, tali disposizioni favoriscono un ambiente online più affidabile e coerente con i requisiti previsti dalle politiche di Google e di Google Merchant Center.

9. Contatti

Per esercitare i diritti previsti dal GDPR o per ottenere ulteriori informazioni sulla gestione dei dati personali è possibile contattare il Responsabile della Protezione dei Dati (DPO) tramite il seguente indirizzo email:

Email: sav@livingnestzone.com

Le richieste ricevono generalmente un riscontro entro 24 ore; in situazioni particolarmente complesse i tempi di risposta potrebbero essere più lunghi.